Пакет по обработке персональных данных закрывает задачи:

Политика оператора в отношении обработки персональных данных должна быть обязательно опубликована на его официальном сайте (приложении). Если у компании нет сайта (приложения) – обеспечить к ней неограниченный доступ (ст. 18.1 152-ФЗ), например повесить бумажную версию Политики на информационный стенд в офисе.

Работодатель должен опубликовать политику работодателя в области обработки персональных данных: если для сбора данных он использует Интернет - на этом сайте или в приложении. Если данные работников собираются вне сайта - повесив ее в офисе.

Каждая компания как оператор самостоятельно составляет пакет документов по ПДн с учетом специфики своей деятельности и способов обработки. Они могут быть как в составе единой Политики (Положения) о защите данных, так и оформлены разными документами. Поэтому оформляйте документы из списка ниже, выбрав те которые нужны в силу ваших процессов, или подключите юриста, который поможет сформировать требуемый список.

Приводим примерный перечень документов:

1. Документы, подтверждающие исполнение оператором персональных данных требований ст. 22 закона 152-ФЗ:

• копия Уведомления Роскомнадзора о намерении осуществлять обработку персональных данных
• копия Уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных
• копия Уведомление о прекращении обработки персональных данных
• копия уведомления о трансграничной передаче персональных данных

2. Документы в отношении обработки ПДн:

• перечень персональных данных и иных объектов, подлежащих защите
• перечень работников, допущенных к обработке
• политика организации в отношении защиты персональных данных
• положение об обработке и защите персональных данных работников
• положение об обработке и защите персональных данных иных физлиц, с которыми оператор взаимодействует (обучающихся, пациентов, абонентов и др.)
• положение об особенностях обработки ПД, осуществляемой без использования средств автоматизации
• положение об обработке ПД в информационных системах
• положение о порядке обезличивания ПД и работы с обезличенными ПД
• положение об ответственности работников за нарушение режима конфиденциальности обрабатываемых данных, за несанкционированный доступ к конфиденциальной информации
• правила рассмотрения обращений субъектов персональных данных
• приказ о назначении сотрудника ответственного за обеспечение безопасности конфиденциальной информации
• приказ о допуске работников к обработке персональных данных
• должностные инструкции сотрудников, обрабатывающих персональные данные
• соглашения о неразглашении персональных данных
• письменное согласие субъекта на обработку его персональных данных, отзыва согласия
• акты об уничтожении информации, содержащей ПД
• договоры с 3-ми лицами, которым оператор поручает обработку персональных данных, или которым передает персональные данные.

3. Защита и обеспечение безопасности ПДн:

• порядок резервирования и восстановление работоспособности технического и программного обеспечения, баз данных, средств защиты информации
• план внутренних проверок состояния и защиты персональных данных
• приказ о вводе в эксплуатацию ИС персональных данных
• схема, отражающая рабочие места, где ведется обработка персональных данных, с указанием внутренних и внешних потоков, по которым передаются ПДн (в том числе по сети Интернет к третьим лицам)
• инструкция по проведению антивирусного контроля в ИС персональных данных
• инструкция по организации парольной защиты
• инструкция пользователю по обеспечению безопасности при возникновении внештатных ситуаций
• план мероприятий по обеспечению безопасности персональных данных
• модель угроз безопасности в ИС персональных данных
• документы, содержащие сведения о соблюдении условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним, а также перечень ответственных лиц
• акт оценки вреда, который может быть причинен субъектам персональных данных
• положение о порядке хранения и уничтожения материальных носителей персональных данных
• инструкция о порядке учета и хранения съемных носителей конфиденциальной информации

4. Учет в сфере персданных:

• журнал учета мероприятий по контролю обеспечения защиты персональных данных
• журнал учета носителей информации ИС персональных данных
• журнал учета съемных и мобильных носителей информации, содержащей персональные данные
• журнал инструктажа работников по вопросам информационной безопасности
• журнал учета обращений субъектов персональных данных, их законных представителей
• журнал периодического тестирования средств защиты информации
• журнал выдачи пропусков.

Нет.

Обоснование:

Биометрическими персональными данными признаются сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность. К таким сведениям, относится, например цифровая фотография лица владельца загранпаспорта нового поколения.

Обработка фотографий, которые отнесены к биометрическим ПД законом, должна осуществляться с письменного согласия субъекта.
Если фотография гражданина не имеет отношения к биометрии, то такое изображение может обрабатываться с соблюдением общих условий, предъявляемых к обработке ПД.
(письмо Роскомнадзора от 29.08.2022 г. N 08-78032)

Персональные данные признаются биометрическими при одновременном соблюдении 3-х условий:

1. Признаны такими в силу положений законодательства

2. Характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность

Физиологические параметры:

- дактилоскопические данные - отпечатки пальцев человека, обработка осуществляется только на основании Федерального закона от 25 июля 1998 г. N 128-ФЗ "О государственной дактилоскопической регистрации в Российской Федерации";
- радужная оболочка глаз;
- анализы ДНК;
- рост;
- вес и др.

3. Используются оператором для установления личности субъекта ПД.

Да.
Оно может быть частью трудового договора, или оформлено отдельным документом (предпочтительнее, так как согласие можно отозвать).

Если есть базы данных, которые собирались для разных целей, их нельзя объединять.
Срок хранения – столько, сколько достаточно для обработки. После обработки их нужно уничтожить или обезличить.

Не нужно получать согласие владельца персональных данных на передачу данных по запросу:

• в прокуратуру
• правоохранительные органы
• государственные инспекции труда
• налоговые инспекции
• иные органы, которые уполномочены запрашивать информацию в соответствии с законом (ст. 6 152-ФЗ).

• Субъект персональных данных потребовал уничтожить их
• Вы самостоятельно обнаружили, что неправомерно обрабатывали персональные данные
• Вы достигли цели обработки персональных данных
• Субъект персональных данных отозвал согласие на обработку персональных данных.

Порядок уничтожения определяется оператором самостоятельно, обычно изложен в Политике обработки.
Оформляется Актом о прекращении обработки, за подписью комиссии или уполномоченного лица (на основании приказа руководителя), в электронной или бумажной форме - в зависимости от того, осуществляется обработка ПД с использованием средств автоматизации или без них. При автоматизированной обработке ПДн подтверждать уничтожение будет электронный Акт вместе с выгрузкой из журнала регистрации событий.
​
С 2023 года документ об уничтожении оформлять обязательно (приказ Роскомнадзора от 28.10.2022 N 179)

К таким случаям относятся:

• проведение вступительных испытаний, а также промежуточных и итоговых аттестаций в образовательных организациях;
• медицинская помощь с использованием технологий телемедицины;
• отпуск лекарственных средств, в том числе дистанционный;
• государственные и муниципальные услуги;
• доступ к государственным информационным системам;
• получение информационного добровольного согласия на медицинское вмешательство;
• проведение медосмотров работников с использованием персональных медицинских помощников.

(Постановление Правительства РФ от 25 мая 2023 года N 815)

Да, к дисциплинарной ответственности, если он по своей вине нарушил нормы, регулирующие обработку и защиту персональных данных других работников.
(ч. 1 ст. 192 ТК РФ). Например, если кадровик разгласил данные других лиц, ставшие ему известными в связи с исполнением своих трудовых обязанностей - дисциплинарное взыскание вплоть до увольнения по пп. "в" п. 6 ч. 1 ст. 81 ТК РФ.
​
К материальной ответственности, если работник нарушил свои обязанности и причинил компании ущерб (ст. 90, ч. 1 ст. 238 ТК РФ) - сумму ущерба и (или) морального вреда, выплаченную компанией пострадавшим по его вине работникам или третьим лицам (ст. 90, ч. 1 ст. 238 ТК РФ).

Можем дать вам следующие общие рекомендации:

1. Минимизировать перечень собираемых и обрабатываемых персональных данных, использовать только те данные, которые действительно необходимы, отказаться от практики накопления персональных данных "на всякий случай", своевременно уничтожать персональные данные при достижении цели их обработки;

2. Обеспечить раздельное хранение различных категорий персональных данных (клиенты, работники, соискатели);

3. Хранить идентификаторы, указывающие на человека (ФИО, e-mail, телефон, адрес) и данные о взаимодействии с ним (например, договоры) в разных, не связанных друг с другом непосредственно, базах данных. Рекомендуется использовать для связи этих баз синтетические идентификаторы, не позволяющие без дополнительной информации и алгоритмов отнести информацию в этих базах к конкретному субъекту персональных данных, и хранить их отдельно от предыдущих двух баз;

4. Использовать технические и программные средства, принадлежащие оператору, для обеспечения необходимого уровня безопасности данных. Поручение обработки данных третьим лицам не снимает с оператора ответственности, но снижает контроль со стороны оператора за принимаемыми мерами безопасности;

5. Своевременно информировать Роскомнадзор о признаках и / или наступивших инцидентах, повлекших (возможно повлекших) распространение персональных данных субъектов;

6. Принимать меры физического контроля доступа к данным во избежание компрометации данных внутренним нарушителем;

7. Назначить ответственного за защиту персональных данных, наделив его необходимыми полномочиями.

Административная ответственность в виде штрафа:
12 000 ₽ - для должностных лиц
20 000 ₽ - для ИП
60 000 ₽ - для организации

Когда данные собраны не в соответствии с целями сбора, и в иных случая обработки с нарушением 152-ФЗ (без целей заключения договора, оказания услуги (выполнения работ) – ч. 1 ст. 13.11 КоАП:

20 000 ₽ - должностным лицам
100 000 ₽ – организациям

Повторное нарушение – должностным лицам 50 000 руб., ИП – 100 000 руб., организациям – 300 000 руб.

Согласно ч. 2 ст. 13.11 КоАП:

40 000 ₽ – должностным лицам
150 000 ₽ – организациям

Повторное нарушение – должностным лицам 100 000 руб.; ИП – 300 000 руб.; 500 000 – организациям (ч. 2.1. ст. 13.11 КоАП).